
    <!DOCTYPE html>
    <html lang="zh-CN">
    <head>
      <meta charset="UTF-8">
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      <title>讲讲项目中常见的安全问题 - 学习卡片</title>
      <style>
        body { font-family: sans-serif; background-color: #f0f8ff; color: #333; display: flex; flex-direction: column; align-items: center; padding: 50px 20px; }
        .header h1 { font-size: 32px; }
        .grid-container { display: grid; grid-template-columns: repeat(3, 1fr); gap: 28px; width: 100%; max-width: 1200px; }
        .card-container { perspective: 1200px; cursor: pointer; height: 250px; }
        .card { width: 100%; height: 100%; position: relative; transform-style: preserve-3d; transition: transform 0.7s; border-radius: 16px; box-shadow: 0 4px 16px rgba(0,0,0,0.08); }
        .card-container.flipped .card { transform: rotateY(180deg); }
        .card-face { position: absolute; width: 100%; height: 100%; backface-visibility: hidden; display: flex; flex-direction: column; box-sizing: border-box; border-radius: 16px; background-color: #fff; padding: 24px; }
        .card-back { background-color: #f0fff4; transform: rotateY(180deg); justify-content: space-between; }
        .card-category { font-size: 14px; color: #0052d9; margin-bottom: 8px; font-weight: 500; }
        .card-question { font-size: 20px; font-weight: 500; flex-grow: 1; display: flex; align-items: center; justify-content: center; text-align: center; }
        .card-answer-wrapper { flex-grow: 1; overflow-y: auto; }
        .card-answer { font-size: 15px; line-height: 1.7; }
        .card-footer { font-size: 13px; color: #8a919f; border-top: 1px solid #f0f0f0; padding-top: 16px; margin-top: 16px; }
        .card-source { font-size: 13px; color: #8a919f; border-top: 1px solid #f0f0f0; padding-top: 12px; margin-top: 12px; }
      </style>
    </head>
    <body>
      <div class="header">
        <h1>讲讲项目中常见的安全问题 - 学习卡片</h1>
      </div>
      <div class="grid-container">
        
    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">理论</div>
          <div class="card-question">身份验证（Authentication）和授权（Authorization）在系统安全中的根本区别是什么？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">理论</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">身份验证的目的是确认用户或服务的身份，确保请求者是其声称的身份，通常通过密码、令牌等方式实现。而授权则是在身份验证之后进行的，它决定了已验证身份的用户或服务可以访问哪些资源或执行哪些操作。</div>
          </div>
          <div class="card-source">来源: 身份验证和授权 - 身份验证和授权的意义</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">技术</div>
          <div class="card-question">如何有效防范或缓解令牌劫持（Token Hijacking）攻击？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">技术</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">为防范令牌劫持，应使用安全的传输协议（如HTTPS）保护令牌传输安全；将令牌设计为短时有效，并使用刷新令牌机制；同时，在令牌中嵌入数字签名（如JWT），以验证其完整性和真实性。</div>
          </div>
          <div class="card-source">来源: 身份验证和授权 - 3. 令牌劫持</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">机制</div>
          <div class="card-question">文档列举了多种导致数据泄露的常见原因，请列出至少三种。</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">机制</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">数据泄露的常见原因包括：1. 未经授权的访问（系统未能正确实施访问控制）；2. 不安全的存储（敏感数据未加密）；3. 数据传输中的拦截（未使用TLS/SSL等加密协议）；4. 内部人员威胁（滥用访问权限）；5. 未修复的漏洞（系统存在已知漏洞未及时修复）。</div>
          </div>
          <div class="card-source">来源: 数据泄露 - 数据泄露的常见原因</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">策略</div>
          <div class="card-question">保护API接口免受拒绝服务攻击（DoS）的关键措施有哪些？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">策略</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">关键措施包括：实施流量限制和访问频率限制，以防止恶意请求使系统过载；使用负载均衡和自动扩展技术来处理突发的高流量，确保系统在攻击下仍能保持稳定运行。</div>
          </div>
          <div class="card-source">来源: 接口安全 - 常见的接口安全威胁</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">技术</div>
          <div class="card-question">根据文档，保障网络数据传输安全的主要方法是什么？推荐使用哪些协议？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">技术</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">保障网络数据传输安全的主要方法是使用加密技术。文档推荐使用TLS（Transport Layer Security）或SSL（Secure Sockets Layer）等协议对数据进行加密，以确保数据在传输过程中的安全性。</div>
          </div>
          <div class="card-source">来源: 网络安全</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">概念</div>
          <div class="card-question">什么是“交易越权”（Transaction Authorization Bypass）？它可能带来哪些潜在影响？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">概念</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">交易越权指攻击者通过漏洞绕过正常的授权机制，执行系统中未经授权的交易或操作。其潜在影响包括：数据泄露和篡改、执行非法交易（如未授权的资金转移）以及导致服务中断或瘫痪。</div>
          </div>
          <div class="card-source">来源: 交易越权 - 交易越权的定义和影响</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">原则</div>
          <div class="card-question">文档中提到的“最小权限原则”是什么？它如何帮助防止特权滥用等安全问题？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">原则</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">最小权限原则（Principle of Least Privilege）指的是仅授予用户或服务完成其职责所需的最低限度的权限。通过这种方式，可以有效减少潜在的攻击面，即使账户被攻破，攻击者也只能访问有限的资源和操作，从而防止了更大范围的特权滥用或恶意操作。</div>
          </div>
          <div class="card-source">来源: 身份验证和授权 - 2. 特权滥用</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">风险</div>
          <div class="card-question">在项目中使用第三方依赖会带来哪些主要的安全风险？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">风险</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">主要安全风险包括：1. 漏洞和安全补丁延迟：第三方库可能存在未知漏洞，且补丁发布不及时。2. 恶意代码注入：攻击者可能篡改库版本以植入恶意代码。3. 依赖库的复杂性：大量依赖使得安全管理和审计变得极具挑战性。</div>
          </div>
          <div class="card-source">来源: 第三方依赖 - 第三方依赖的安全风险</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">理论</div>
          <div class="card-question">从商业角度看，除了防止技术故障外，为什么项目安全至关重要？请根据文档列举至少三个原因。</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">理论</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">项目安全至关重要的商业原因包括：1. 保护公司声誉和用户信任，避免因安全事件导致用户流失；2. 确保法律和合规性，避免因违反数据保护法规（如GDPR）而面临巨额罚款；3. 保障业务连续性，防止DDoS攻击或勒索软件等导致业务中断和经济损失。</div>
          </div>
          <div class="card-source">来源: 安全的重要性</div>
        </div>
      </div>
    </div>

      </div>
    </body>
    </html>
